Die meisten Benutzerkonten im Internet werden durch ein Passwort geschützt. Obwohl in sozialen Netzwerken, Onlineshops oder im E-Mailpostfach viele persönliche Daten lagern, machen sich viele offenbar kaum Gedanken über deren Sicherheit. Oder wie sonst lässt sich erklären, dass "123456" und "password" nach wie vor zu den am häufigsten verwendeten Passwörtern gehören? Dabei genügen ein paar Minuten Zeit, um sich ein wirklich sicheres Passwort auszudenken.
Berechenbare Schwäche
Wie unsicher ein schwaches Passwort ist, kann man ausrechnen. Die meisten Hacks werden durch so genannte Brute-Force-Angriffe durchgeführt, zu deutsch "mit roher Gewalt". Dafür rechnen entsprechende Programme sämtliche Kombinationsmöglichkeiten von Buchstaben, Zahlen und Zeichen durch. Je kürzer und simpler das Passwort, desto schneller ist es geknackt. Professorin Claudia Eckert, Leiterin des Fraunhofer Instituts für Angewandte und Integrierte Sicherheit, bestätigt: "Die schnellsten Supercomputer können heutzutage weit mehr als zwei Milliarden Schlüssel pro Sekunde durchprobieren."
Um die Sicherheit eines Passworts zu berechnen, braucht es zwei Schritte. Zunächst muss man herausfinden, wie viele Kombinationen für ein Passwort existieren. Dafür gibt es eine Formel: Kombinationen = Zeichenraumgröße hoch Passwortlänge.
Die Zeichenraumgröße ist dabei die maximale Anzahl an möglichen Zeichen, also etwa 26 Großbuchstaben oder zehn Ziffern.
Im zweiten Schritt teilt man die Anzahl der Kombinationen durch zwei Milliarden. So erhält man die Zeit in Sekunden, die ein Superrechner längstens brauchen würde, um es zu knacken.
Das klingt komplizierter als es ist. Zwei Beispiele:
"123456" besteht ausschließlich aus Zahlen. Da es zehn Ziffern gibt und das Passwort sechs Stellen hat, ist die Anzahl der Kombinationsmöglichkeiten zehn hoch sechs = eine Million. Geteilt durch zwei Milliarden ergibt: Dieses Passwort wäre im Bruchteil einer Sekunde geknackt.
Das beliebte "password" besteht aus acht Buchstaben, von denen das deutsche Alphabet 26 besitzt. Da es ausschließlich Kleinbuchstaben sind, ergibt die Formel: 26 hoch 8 = 208.827.064.576, also immerhin gut 208 Milliarden Kombinationsmöglichkeiten. Ein Superrechner bräuchte dennoch maximal 104 Sekunden, also weniger als zwei Minuten, um alle Kombinationen zu testen. Da das "password" aber seit Jahren auf den ersten Plätzen der häufigsten Passwörter rangiert, würde ein kluger Hacker dieses vermutlich als erstes ausprobieren.
Regeln für ein gutes Passwort
Damit ein Passwort das Nutzerkonto wirklich schützt, muss es gewisse Kriterien erfüllen. Claudia Eckert empfiehlt: "Man sollte mindestens zwölf Zeichen verwenden, dabei Groß- und Kleinbuchstaben mischen und auch Sonderzeichen und Zahlen einbauen. Wichtig ist, dass man keine Namen, Worte oder Wortteile verwendet, die in einem Wörterbuch automatisiert nachgeschlagen werden können."
Um sich eine solche Mischung aus Zeichen und Zahlen merken zu können, gibt es einen simplen, aber genialen Trick, den auch die Professorin benutzt: "Meistens liegt meinen Passwörtern ein längerer Satz zugrunde, von dessen Wörtern ich nur die Anfangsbuchstaben verwende", sagt Claudia Eckert.